Notizie: Prova Thimble, l'editor HTML di nuova generazione di Mozilla.

Autore Topic: Poodle, il barboncino che legge i dati delle connessioni cifrate (SSLv3) con cifratura a blocchi  (Letto 3553 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Proteggersi dal “barboncino”.

The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog
Citazione
We have a plan to turn off SSLv3 in Firefox. This plan was developed with other browser vendors after a team at Google discovered a critical flaw in SSLv3, which can allow an attacker to extract secret information from inside of an encrypted transaction. SSLv3 is an old version of the security system that underlies secure Web transactions and is known as the “Secure Sockets Layer” (SSL) or “Transport Layer Security” (TLS).


Maggiori informazioni sull'attacco in italiano


Attacco POODLE su SSL 3.0: intercettabili dati personali
Citazione
La notizia di queste ore è che alcuni tecnici nelle fila di Google hanno individuato una pericolosa vulnerabilità in SSL 3.0, ossia in una vecchia implementazione del protocollo crittografico SSL.

 
 Estensione per disattivare SSLv3:
 https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/

o via about:config
Codice: [Seleziona]
security.tls.version.min -> 1

 
 
« Ultima modifica: 16 Ottobre 2014 23:28:21 da gialloporpora »

Offline Iceberg

  • Moderatore
  • Post: 7667
Questo test mi dice "Not vulnerable" senza aver fatto nulla quindi con quel parametro = 0.

https://www.poodletest.com/

Sai perché?

Offline michro

  • Moderatore
  • Post: 19051
Questo test mi dice "Not vulnerable" senza aver fatto nulla quindi con quel parametro = 0.

https://www.poodletest.com/

Sai perché?
Idem with potatoes :wink:

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
L'ho rimesso a 0 e anche io continuo a vedere il Terrier, boh :-?
Che sia il test che non funziona?

Offline fabrixx

  • Post: 5695
Not vulnerable su nightly 36 per Android

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
La Nightly non fa testo perché lì è già stato disattivato.
Comunque io lo metterei a 1 o installerei l'estensione, secondo me quel test non funziona.

Offline fabrixx

  • Post: 5695

Offline Iceberg

  • Moderatore
  • Post: 7667
Sembra che abbiamo l'invidia del bug.
Leggo:

Citazione
L'unico a non essere interessato dal problema è Firefox 32, sia su Windows che su Mac OS X.

Aggiungo Linux, aggiungo che Firefox non è interessato al problema già dalla versione 24.
Per chi proprio volesse vedere un diverso cagnolino deve provare con Firefox 17 (io vado di ESR in ESR).

Allora perché Mozilla ha fatto quell'estensione?
Per stare in una botte di ferro? Probabile.

Ciò che vale per Firefox è estendibile a Seamonkey, dove come da tradizione l'opzione è in chiaro nella sezione sicurezza (nessun bisogno di estensioni o about:config).

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
@Iceberg,
io vorrei solo capire perché Firefox sembra immune, perché leggendo sul blog Mozilla sembra che Firefox dovrebbe esserne affetto perché  SSLv3 è attivo.
È qualcosa nelle impostazioni del server che impedisce il fallback di Firefox nell'usare SSLv3? E può eventualmente un hacker fare una versione dell'attacco a cui Firefox non è immune?
Ho provato a commentare e chiedere spiegazioni ma mi ha mandato il commento due volte nello spam e ci ho rinunciato.

Io per non saper né leggere né scrivere l'ho messa a  1 comunque.


Offline Iceberg

  • Moderatore
  • Post: 7667
Sì certo SSLv3 è attivo su Firefox, Seamonkey lo fa vedere in modo chiaro con tanto di casellina per disattivarlo.
Pur essendo qualcosa di vecchio la sua implementazione è stata aggiornata nelle ultime versioni, fatta in maniera differente e più sicura? Perché Firefox 17 non è immune.
Oppure non è usato o usato solo come estrema risorsa?

Forse "eventualmente un hacker potrebbe fare una versione dell'attacco a cui Firefox non è immune" è il timore di Mozilla. E mettere quel parametro a "1" taglia la testa al toro.

Piacerebbe anche a me sapere qualcosa con meno penso, credo, potrebbe...

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
dimmi solo una cosa: non è che hai qualche estensione tipo HTTPS Everywhere?
In safe-mode confermi che non è vulnerabile?
Perché io sono curioso e se così fosse provo a chiederlo direttamente a Mozilla



Offline Iceberg

  • Moderatore
  • Post: 7667
Profilo appena creato prima prova che ho fatto.


Offline Iceberg

  • Moderatore
  • Post: 7667
Hanno aggiunto questa spiegazione nella pagina del test:

Citazione
Earlier versions of this site did show recent Firefox versions as non vulnerable. Turns out, that these versions of Firefox do support SSLv3, but will not accept an SSLv3 server that supports ciphers usually only associated with TLS. (e.g. ECDHE). I am now only using weaker ciphers on my SSLv3 server, and Firefox should now connect via SSLv3.

So in short: Firefox is less likely to downgrade to SSLv3 if the server follows best practices on cipher selection, even if SSLv3 is still supported.

Siamo messi meglio della concorrenza, pure il test aggiornato continua a dare "non vulnerabile", ma è opportuno impostare:

security.tls.version.min = 1

« Ultima modifica: 16 Ottobre 2014 01:58:44 da Iceberg »

Offline Geko

  • Post: 1376
Ho messo security.tls.version.min = 1 come come consigliato,tuttavia ho un dubbio:a partire da quale versione esiste questa vulnerabilità? Perchè mi sembra di aver visto che questo parametro nelle versioni precedenti non c'era.

Offline A35G

  • Post: 638
    • HackWorld - La Rinascita del Sapere -
A me dice vulnerabile senza toccare nulla :lol:

0 Utenti e 1 Visitatore stanno visualizzando questo topic.